Za nami pierwszy rok obowiązywania RODO. Pojawiło się już mnóstwo podsumowań tego okresu, ale prawda jest taka, że wciąż głównym powodem kojarzenia tego skrótu są kary. Za co dostało się duńskiej firmie taksówkowej, a za co portugalskiemu szpitalowi? Kto już zajął się tematem publikacji zdjęć i jak wycenić pojedyncze naruszenie? W tym artykule omówię dwa polskie i kilka ciekawszych przypadków z innych krajów unijnych.
Prawie 56 mln euro – tyle w sumie wyniosły wszystkie kary. To dużo, ale warto byłoby zrobić ważne zastrzeżenie. Większość tej kwoty to pojedyncza sankcja – omawiane wielokrotnie 50 mln dla Google’a. Zgodnie z tym, co kiedyś już mówiłem, potwierdza się, że w pierwszej kolejności do odpowiedzialności za nieprawidłowości pociągani będą najwięksi.
Podobnie sytuacja wygląda z samą ilością nałożonych w Unii kar – choć jest ich ponad 110, to aż 75 z nich nałożono w Niemczech. Nasi zachodni sąsiedzi potwierdzają zatem stereotyp praworządnych i czuwających nad każdym fragmentem realizacji wdrożenia przepisów. Zacznijmy jednak od dwóch kar nałożonych w Polsce.
Dolnośląski Związek Piłki Nożnej
Ta kara jest mniej kontrowersyjna i jednocześnie bardziej pożyteczna dla wszystkich nieukaranych. Na czym polegała? Jak się okazało, ujawniono zbyt wiele danych sędziów – na stronach oprócz imion i nazwisk pojawiły się niepotrzebnie numery PESEL i adresy zamieszkania. To oczywiście narażało sędziów na ryzyko bezprawnego wykorzystania tych danych – pomyśl sam, jak mogłyby wyglądać odwiedziny niezadowolonych kibiców lub podszywanie się osób znających PESEL…
Czyli w omawianej sprawie mieliśmy do czynienia z „podzieleniem się” ze światem danymi niepotrzebnymi. Co ważne, nastąpiła tu współpraca z organem, bo Związek sam zgłosił naruszenie już w lipcu. Twierdził, że usunął dane, ale najwyraźniej zrobił to tylko częściowo, bo później wpłynęła na niego uzasadniona skarga.
Dla nas najciekawsze są jednak liczby. Naruszono dane 585 sędziów, a kara wyniosła ok. 56 tys. zł. Czyli przy założeniu:
a) częściowej współpracy z organem,
b) usunięcia danych,
c) ujawnienia takich ich kategorii, jak adres i PESEL,
możemy dokonać „wyceny” pojedynczego naruszenia. Wychodzi na to, że jedno naruszenie „kosztuje” według Urzędu około 95 zł (łatwiej pewnie będzie zaokrąglić to w górę i zapamiętać kwotę 100 zł). To najcenniejsza edukacyjna wartość tej kary.
Kontrowersyjna pierwsza polska kara
Najlepiej znów zacznijmy od historii: pewna spółka przetwarzała dane publicznie dostępne, należące do osób fizycznych prowadzących działalność. Nie wszystkie spośród nich informowała o tym fakcie – jeśli nie dysponowała adresem e-mail przetwarzanej firmy, to, uznając to za wskazany w RODO niewspółmiernie duży wysiłek, nie decydowała się na wysłanie tradycyjnego listu. Urząd uznał, że powinna była to zrobić i nałożył niemal milion złotych kary. Czyli milion za to, że Urząd inaczej ocenia niewspółmierność.
Trochę szkoda, że Urząd na początek ukarał akurat firmę, która podjęła jakiekolwiek kroki w celu dostosowania się do nowych regulacji. Urzędy wydawały pomocne interpretacje przepisów (RODO a monitoring, RODO w szkołach itp.) i raczej można było spodziewać się, że to w tych zakresach najpierw będą przeprowadzane kontrole i ewentualnie nakładane kary. Poza tym ostatnio miało miejsce sporo dużych wycieków danych (np. Morele) i to takie firmy raczej były w powszechnym mniemaniu pierwsze „w kolejce”. A jednak skupiono się nie na aspektach technicznych zabezpieczeń, tylko innym interpretowaniu słowa „niewspółmierny” przez ukaranego i urząd.
Firma odwołała się od tej decyzji, argumentując swoje stanowisko tym, że wysłanie za pośrednictwem poczty tradycyjnej informacji o przetwarzaniu wiązałoby się z ogromnymi kosztami. Stąd na razie nie traktujemy jej jako ostatecznej i uważam, że w dalszej części rozstrzygania sytuacja może ulec zmianie. Szkoda tylko, że Urząd zmarnował w pewnym sensie okazję, jaką jest nagłośnienie pierwszej kary na coś, co może okazać się niejednoznaczne.
Za co można było otrzymać karę w innych krajach?
1. Zbyt długie przechowywanie numerów telefonów
W Danii Urząd nałożył karę na przedsiębiorstwo taksówkowe w wysokości 1 200 000 koron za 8 873 333 rekordów w bazie.
2. Naruszenie ochrony danych w bankach
Tak było na Węgrzech (karę otrzymało biuro informacji kredytowej za naruszenie prywatności dłużnika, przekazując informacje o niespłaconych przez niego należnościach na rzecz współwłasności pożyczki) oraz w Bułgarii (tam z kolei karę otrzymał bank dzwoniący do klienta w sprawach niepowiązanych z zaciągniętym przez niego kredytem).
3. Niezamówione mailowanie
W Belgii karę otrzymał kandydat na burmistrza, który w przeddzień wyborów wysyłał zachęcające do głosowania na niego wiadomości do osób, z którymi dotąd pisał służbowo.
4. Niesłuchanie dobrych rad
We Włoszech sporą karę (50 tys. euro) otrzymała platforma internetowa, która nie wdrożyła zasugerowanych przez organ nadzorczy środków technicznych i organizacyjnych. Czyli po prostu rozwiązań w zakresie tego, jak przetwarzać dane.
6. Brak dopełnienia obowiązku poinformowania o wycieku danych
Karą została obłożona firma z Litwy. Przypominam, że zgodnie z RODO należy tego dokonać w ciągu 72 godzin. Ta sama firma została obłożona też karą za przechowywanie zbyt wielu danych.
7. Zbyt długi czas przechowywania danych
Do systemu IT szpitala w Portugalii miało dostęp 689 lekarzy, którzy już od pewnego czasu nie współpracowali w jego ramach. Dodatkowo do danych medycznych (czyli bardzo wrażliwych) dostęp miały inne nieupoważnione osoby.
8. Błędy w monitoringu (tym fizycznym, z kamerami) w zakresie nieprawidłowego informowania czy zbyt szerokiego zasięgu
W tym przoduje Austria z trzema karami wynoszącymi od 400 do 4 800 euro.
No i na koniec oczywiście kara google’owska. Urząd we Francji zgodził się z zarzutem, że użytkownicy nie są w stanie przejrzyście sprawdzić, jakie dane i przez jaki czas są przetwarzane – zwłaszcza te służące do personalizowania reklam.
Wnioski?
Jak widać, kary z zagranicy są dla naszej wiedzy w zakresie wdrażania RODO „cenniejsze” od polskich. W wielu jednak przypadkach, jak chociażby zbyt długi czas przechowywania danych, wystarczyłby po prostu zdrowy rozsądek. Życzę Ci skutecznego przestrzegania RODO oraz aby nie było okazji pisania o Twojej firmie w kontekście kar.
Przypominamy, że wielkimi krokami zbliża się konferencja I ♥ Marketing & Technology, która odbędzie się już 8–10 kwietnia 2025 roku.
Zapoznaj się także z ofertą organizowanych przez nas szkoleń z zakresu marketingu.